Viele Unternehmen setzten auf Microsoft-Dienste. Oftmals wird direkt das Cloud-Angebot Microsoft 365 genutzt, mit welchem orts- und geräteunabhängig gearbeitet werden kann. Allerdings gibt es dabei eine wesentliche Herausforderung: Datenschutz. In diesem Beitrag erklären wir euch die Problematik rundum Microsoft 365 und der DSGVO. Denn der Microsoft 365 Datenschutz ist nicht unbedingt vorbildlich.
Microsoft 365
Microsoft 365 ist ein Angebot von Microsoft für Privat- sowie Firmenkunden. Für Unternehmen stehen drei verschiedene Pakete zur Verfügung, die jeweils unterschiedliche Anwendungen, Tools und Funktionen umfassen. Alle Pakete enthalten allerdings grundsätzlich die gängigen Office-Anwendungen wie z.B. Word, Excel, PowerPoint und OneNote sowie das E-Mail-Tool Outlook. Daneben kann dann auch noch Teams und weitere ergänzende Tools und Funktionen mitgebucht werden. Das besondere daran ist, dass die Anwendungen und Dokumente bei Microsoft 365 nicht mehr lokal auf den Geräten der Nutzer gespeichert sind, sondern in der Microsoft-Cloud. Dies hat den Vorteil, dass von überall und mit jeglichen kompatiblen Geräten auf die Cloud zugegriffen und entsprechend gearbeitet werden kann. Für viele Unternehmen ist dies sehr vorteilhaft.
Microsoft 365 Datenschutz
Doch, es ist zu schön, um wahr zu sein. Denn mit der Speicherung in der Microsoft-Cloud, gibt man die absolute Kontrolle über die Daten ab. Dies ist im Falle von Microsoft 365 aus Sicht der DSGVO aus verschiedenen Gründen problematisch.
Datenübermittlung in die USA
Zentrales Problem ist die Übermittlung von Daten in die USA. Vor einiger Zeit gab es mit dem Privacy-Shield-Abkommen noch einen Angemessenheitsbeschluss der europäischen Union, der besagte, dass in den USA ein gleiches Datenschutzniveau herrscht, wie in der EU. Auf Grundlage dieses Beschlusses konnte man personenbezogene Daten ohne Probleme an die USA übermitteln. Dies ist seit dem Schrems II-Urteil des EuGHs nicht mehr möglich. Mit dem Urteil stellte die EU fest, dass US-amerikanische Rechtsvorschriften nicht mit den Vorgaben der DSGVO vereinbar sind, womit das Privacy-Shield-Abkommen ungültig wurde. Eine Übermittlung von Daten in die USA ist nun nur noch in seltenen Fällen rechtmäßig, da dafür besondere Verträge und ergänzende technische Maßnahmen notwendig sind.
Der CLOUD-Act
Viele US-amerikanische Anbieter von Softwareanwendungen haben auf das Urteil reagiert und bieten Kunden nun die Möglichkeit Daten in der EU zu speichern. Genau so hat auch Microsoft reagiert. Auf den ersten Blick scheint damit das Problem mit der Datenübermittlung geklärt zu sein. Doch so einfach ist es leider nicht. Denn die US-amerikanischen Rechtsvorschriften, die u.a. dazu geführt haben, dass das Privacy-Shield-Abkommen gekippt wurde, machen die generelle Beauftragung von Anbietern aus den USA schwierig. Hierbei ist vor allem der sog. CLOUD-Act maßgeblich. Dieser ermöglicht es US-amerikanischen Behörden in bestimmten Fällen Zugriff auf Daten von US-amerikanischen Unternehmen zu erhalten, auch wenn diese außerhalb der USA gespeichert sind. Damit liegt eine fundamentale Inkompatibilität mit dem europäischen Datenschutzrecht vor.
Demnach macht es aus datenschutzrechtlicher Sicht auch keinen Unterschied, ob die Daten auf Servern in der EU liegen. Solange ein US-Anbieter involviert ist, könnte auch ein Drittlands-Transfer nach DSGVO vorliegen und dieser ist nur noch mit speziellen Verträgen und umfangreichen ergänzenden Maßnahmen rechtmäßig. Da die notwendigen ergänzenden Maßnahmen (der EDPB empfiehlt bspw. die separate Verschlüsselung der Daten) recht aufwändig und oftmals kaum realisierbar sind, ist eine diesbezügliche DSGVO-konforme Nutzung von Microsoft 365 bereits oftmals nicht möglich.
Auftragsverarbeitungsvertrag
Sobald ein Unternehmen ein anderes Unternehmen damit beauftragt weisungsgebunden personenbezogene Daten zu verarbeiten, ist ein sog. Auftragsverarbeitungsvertrag notwendig. In diesem Vertrag muss u.a. angegeben werden, wie und zu welchem Zweck die Daten verarbeitet werden. Da Microsoft mit Microsoft 365 ein cloudbasiertes Anwendungspaket anbietet, besteht eindeutig ein Auftragsverarbeitungsverhältnis. Hier tut sich allerdings das nächste datenschutzrechtliche Problem auf. Laut der bundesweiten Datenschutzkonferenz sind nämlich die Auftragsverarbeitungsverträge von Microsoft zu ungenau, um als DSGVO-konform zu gelten. Besonders bemängelt wird, dass Microsoft angibt, die betroffenen personenbezogene Daten auch noch für weitere legitime Geschäftszwecke zu verarbeiten, ohne, dass ersichtlich wird, welche Daten für welchen der angegebenen Geschäftszwecke verarbeitet werden. Hinzu kommt, dass Microsoft Telemetriedaten komplett ohne Rechtsgrundlage zu verarbeiten scheint. Auch durch explizite Anpassung der Datenschutzeinstellungen/-konfiguration können diese Defizite nicht beseitigt werden.
Datensicherheit
Auch in Bezug auf die Datensicherheit bleibt Microsoft in seiner Dokumentation unspezifisch. Für Verantwortliche ist somit nicht festzustellen, welche dem Risiko angemessenen Sicherheitsmaßnahmen für die Verarbeitung von personenbezogenen Daten ergriffen wurden. Damit ist es kaum möglich einzuschätzen, ob ein ausreichendes Sicherheitsniveau bei Microsoft vorliegt. Damit ist eine Beauftragung von Microsoft auch unter diesem Gesichtspunkt datenschutzrechtlich riskant.
Meinung der Aufsichtsbehörden
Spätestens seit der Corona-Pandemie und der damit einhergehenden Homeschooling Phase im Bildungsbereich, haben sich Aufsichtsbehörden vermehrt mit Datenschutz bei Microsoft 365 beschäftigt. Besonders aktiv war dabei der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Dieser teilte bereits früh mit, dass der Einsatz von Microsoft 365 mit einem inakzeptabel hohen datenschutzrechtlichen Risiko verbunden sei. Von dieser Einschätzung ist er bis heute nicht abgewichen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gibt an, dass ein Einsatz von Microsoft 365 nur mit sehr umfangreichen ergänzenden Maßnahmen rechtmäßig sein könnte. Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Niedersachsen und der Bundesbeauftragten für Datenschutz und Informationsfreiheit schließen sich der Datenschutzkonferenz an und stufen die Nutzung von Microsoft 365 als kritisch ein. Auch die niederländische Datenschutzaufsichtsbehörde stuft das Microsoft Angebot aus beschriebenen Gründen als datenschutzrechtlich fragwürdig ein. Die Datenschutzkonferenz hat ihre kritische Einschätzung Ende 2022 erneut abgegeben. Allerdings ließen die Landesdatenschutzbeauftragten bereits durchscheinen, dass sie (erstmal) kulant sein werden.
Derzeitige Entwicklungen
Neuer Auftragsverarbeitungsvertrag von Microsoft
Microsoft hat nun im Januar neue Auftragsverarbeitungsverträge veröffentlicht, die die Kritikpunkte der Datenschutzkonferenz adressieren und beseitigen sollen.
Dabei wurden folgende Punkte angepasst:
-
- Unterstützung bei der Rechenschaftspflicht: Microsoft wird Kunden nun explizit bei der Erfüllung ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO unterstützen und dem Kunden hierfür erforderliche Dokumente bereitstellt.
- Telekommunikationsdaten: Microsoft sichert zu, dass sie auch in der Rolle als Anbieter von Telekommunikationsdiensten einschlägige Rechtsvorschriften einhalten werden. Hierzu zählt insbesondere das Fernmeldegeheimnis (§ 3 TTDSG).
- Datenverarbeitung in Europa: Microsoft gibt nun eindeutig an, dass Kundendaten ausschließlich in der EU speichern und verarbeiten werden, wenn diese vom EU Data Boundary erfasst sind.
- Mehr Datensicherheit: Microsoft versichert nun auch vertraglich, dass sie auch die technischen und organisatorischen Maßnahmen aus den Standardvertragsklauseln zwischen Microsoft Irland und Microsoft USA umsetzt.
- Unterstützung bei der Rechenschaftspflicht: Microsoft wird Kunden nun explizit bei der Erfüllung ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO unterstützen und dem Kunden hierfür erforderliche Dokumente bereitstellt.
Ob diese neuen vertraglichen Zusicherungen des Datenschutzkonferenz reichen, ist derzeit allerdings noch unklar
Neues Datentransferabkommen zwischen EU und USA
Die EU und die USA arbeiten derzeit an einem neuen Angemessenheitsbeschluss für die Übermittlung von personenbezogenen Daten in die USA. Hier wurden bereits Entwürfe erstellt und es ist denkbar, dass das neue Abkommen zeitnah in Kraft treten wird. Damit wäre die Problematik des Datentransfers beim Einsatz von Microsoft 365 beseitigt. Allerdings gibt es bereits jetzt schon Zweifel an der langfristigen Gültigkeit des Abkommens. Es wird vermutet, dass es wie die letzten beiden Abkommen vom EuGH einkassiert werden wird.
Fazit
Auch wenn einiges darauf hinweist, ist nicht abschließend geklärt, ob Microsoft 365 DSGVO-konform eingesetzt werden kann. Die Datenschutzkonferenz ist im Austausch mit Microsoft, um besseren Datenschutz zu erhalten. Microsoft ist bemüht die Anforderungen umzusetzen und hat nun vertraglich nochmal nachgeschärft. Ebenso ist es absehbar, dass ein neues Datentransferabkommen zwischen der EU und den USA kommt. Momentan gehen allerdings viele relevante Stellen davon aus, dass ein konformer Einsatz aufgrund von diversen Faktoren nicht möglich ist. Somit ist ein Einsatz von Microsoft 365 durchaus weiterhin risikobehaftet.
Allerdings sind die Einschätzungen der Behörden nicht rechtsverbindlich und es gibt auch etliche Kritik aus der Fachwelt an der Einordnung. Hauptargument ist dabei, dass mit einer solchen kleinlichen Auslegung Digitalisierung verhindert werden würde. Auch Microsoft wehrt sich gegen die Bewertung der Datenschutzkonferenz.
Wie kann das Risiko eingedämmt werden?
Für viele Unternehmen ist das Angebot von Microsoft vielversprechend. Die Software-Angebote vereinfachen die Zusammenarbeit und ermöglichen die Digitalisierung von vielen Prozessen. Häufig wird darum trotz Risiko auf Microsoft 365 gesetzt. Dabei sollte allerdings versucht werden das Risiko soweit es geht zu minimieren. Wichtig dabei ist, dass man im Notfall umfangreiche Dokumentationen vorweisen kann, die zeigen, dass man sich tiefgehend mit der Thematik beschäftigt hat.
Dafür sollten folgende Maßnahmen ergriffen werden:
- Abschluss des aktuellen Microsoft-Auftragsverarbeitungsvertrags (s.o)
- Abschluss der Microsoft-Standardvertragsklauseln, um den Datentransfer vertraglich zu regeln
- Erstellung eines Transfer Impact Assessments (TIA):
- Einschätzung des Risikos, welches bei einer Übermittlung von Daten in die USA vorliegt
- Analyse der rechtlichen Rahmenbedingungen in den USA
- Bewertung, inwiefern eine Übermittlung rechtswidrig sein könnte.
- Erstellung einer Datenschutz-Folgenabschätzung (DSFA) zum Einsatz von MS 365:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- Dokumentation der zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.
- Anpassung der Microsoft 365-Software-Einstellungen:
- Die Verarbeitung von Diagnosedaten ausschalten
- Die Synchronisation von Telemetriedaten deaktivieren
- Die Datenübermittlung im Zuge des Customer Experience Improvement Program deaktivieren
- Die Anwendung der Connected Experiences deaktivieren
- Die LinkedIn-Integration von Mitarbeiterkonten deaktivieren
- Workplace Analytics nicht verwenden
- Nutzerdaten bei den Activity Reports ausblenden
Besonders herausfordernd ist hierbei die Erstellung einer TIA und einer DSFA. Falls möglich sollten fachkundige Personen diese Dokumente erstellen. Sobald die aufgezählten (derzeit möglichen) Maßnahmen umgesetzt wurden, kann nachgewiesen werden, dass der Einsatz von Microsoft 365 datenschutzrechtlich gut durchdacht ist, womit das Risiko eingedämmt werden kann. Vollkommen risikofrei wird der Einsatz des Software-Pakets allerdings auch damit nicht.
Du interessierst dich für datenschutzrechtliche Themen? Dann schau doch bei unseren anderen Beiträge vorbei, die bspw. über die anstehende ePrivacy-Verordnung.
Sollte dir der Blog-Beitrag gefallen haben, folge uns am besten auf Instagram, Facebook, LinkedIn oder XING, um immer informiert zu bleiben.